PicassoLoader Malware
Stručnjaci Infoseca identificirali su niz kampanja kibernetičkih napada protiv ciljeva u Ukrajini i Poljskoj. Kibernetički kriminalci usredotočeni su na kompromitiranje državnih tijela, vojnih organizacija i civilnih korisnika. Cilj ovih kampanja je nezakonito dobivanje osjetljivih podataka i uspostavljanje kontinuiranog udaljenog pristupa ugroženim sustavima.
Obuhvaćajući razdoblje od travnja 2022. do srpnja 2023., ova kampanja upada koristi različite taktike. Mamci za krađu identiteta i dokumenti mamci koriste se za prevaru žrtava i olakšavanje postavljanja zlonamjernog softvera za preuzimanje poznatog kao PicassoLoader. Ovaj prijeteći softver služi kao prolaz za pokretanje drugih nesigurnih alata, posebno Cobalt Strike Beacon i njRAT .
Mamci za krađu identiteta su prijevarne tehnike koje se koriste za prevaru pojedinaca da otkriju osjetljive podatke, kao što su korisnička imena, lozinke ili vjerodajnice računa. Mamljivi dokumenti su prikrivene datoteke dizajnirane da izgledaju legitimno, ali zapravo sadrže nesigurne sadržaje. Navodeći žrtve na interakciju s tim lažnim dokumentima, napadači mogu pokrenuti PicassoLoader downloader na svojim sustavima.
Nakon što se PicassoLoader uspješno postavi, služi kao kanal za sljedeću fazu napada. Omogućuje instalaciju i izvođenje dvije dodatne vrste zlonamjernog softvera: Cobalt Strike Beacon i njRAT. Cobalt Strike Beacon je sofisticirani alat za testiranje penetracije koji napadačima omogućuje neovlašteni pristup i kontrolu nad ugroženim sustavima. Što se tiče njRAT-a, to je trojanac s daljinskim pristupom koji napadačima omogućuje neovlašteni daljinski pristup zaraženim sustavima, omogućujući im neotkriveno izvođenje zlonamjernih aktivnosti.
Sadržaj
Zlonamjerni softver PicassoLoader postavljen je kao dio višestupanjskog lanca zaraze
Napadači koji stoje iza PicassoLoadera koristili su višefazni lanac zaraze za izvođenje svojih štetnih aktivnosti. U početnoj fazi koristili su se kompromitirani Microsoft Office dokumenti, a najčešće su se koristili Microsoft Excel i PowerPoint formati datoteka. Ti dokumenti služe kao polazište za napad.
Nakon Office dokumenata, izvršni program za preuzimanje i korisni sadržaj skriveni su unutar slikovne datoteke. Ova je taktika vjerojatno korištena kako bi otkrivanje programa za preuzimanje i korisnog sadržaja postalo izazovnije za sigurnosne sustave. Skrivajući se unutar slikovne datoteke, napadači nastoje zaobići sigurnosne mjere i povećati šanse za uspješnu infiltraciju.
Neki od ovih napada pripisani su akteru prijetnje poznatom kao GhostWriter, koji se također prati kao UAC-0057 ili UNC1151. Vjeruje se da su motivacije i ciljevi GhostWritera usklađeni s interesima bjeloruske vlade.
Zabilježeni su brojni ciljani napadi na Ukrajinu
Vrijedno je spomenuti da je podskup ovih napada već dokumentiran tijekom prošle godine od strane Ukrajinskog računalnog hitnog odgovora (CERT-UA). Jedan zapažen primjer dogodio se u srpnju 2022., kada su PowerPoint dokumenti puni makroa korišteni za isporuku zlonamjernog softvera Agent Tesla . Ovaj incident istaknuo je korištenje makronaredbi kao sredstva za distribuciju zlonamjernog softvera i kompromitiranje sustava žrtava.
Lanci zaraze korišteni u ovim napadima oslanjaju se na metode društvenog inženjeringa kako bi uvjerili žrtve da omoguće makronaredbe unutar dokumenata sustava Office. Nakon što su makronaredbe omogućene, pokreće se VBA makronaredba, što dovodi do postavljanja prijetnje PicassoLoader DLL preuzimača. Ovaj preuzimač zatim uspostavlja vezu sa web mjestom koje kontroliraju napadači kako bi dohvatio korisni teret sljedeće faze, koji je ugrađen unutar naizgled legitimne slikovne datoteke. Konačni zlonamjerni softver skriven je u ovoj slikovnoj datoteci.
Ova nedavna otkrića CERT-UA podudaraju se s njihovim izvješćima o nekoliko operacija krađe identiteta distribucijom zlonamjernog softvera SmokeLoader. Dodatno, identificiran je smishing napad koji je ciljao na korisnike Telegrama s ciljem stjecanja neovlaštene kontrole nad njihovim računima.
GhostWriter je samo jedna od skupina kibernetičkog kriminala koja cilja Ukrajinu
Ukrajina je postala meta brojnih prijetnji, uključujući ozloglašenu rusku državnu skupinu APT28 . Primijećeno je da APT28 koristi taktiku slanja phishing e-pošte s HTML privicima, varajući primatelje da povjeruju da postoji sumnjiva aktivnost na njihovim UKR.NET i Yahoo! računi. E-poruke traže od korisnika da promijene svoje lozinke, ali umjesto toga vode ih na lažne odredišne stranice dizajnirane za prikupljanje njihovih vjerodajnica za prijavu.
Ovaj nedavni razvoj dio je šireg obrasca opaženog u aktivnostima hakera povezanih s ruskom vojnom obavještajnom službom (GRU). Oni su usvojili 'standardnu petofaznu igru' u svojim razornim operacijama protiv Ukrajine, demonstrirajući namjerno nastojanje da povećaju brzinu, opseg i intenzitet svojih napada.
